V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
momowei
V2EX  ›  问与答

怎么实现一个公网接口参数传递安全问题

  •  
  •   momowei · 2019-06-04 10:40:38 +08:00 · 2148 次点击
    这是一个创建于 2003 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前有这么一个接口,接口是 https 的,传输过程安全可控,,, 但是 这个接口需要传递身份证号码,然后会返回根据身份证号码相关的信息,没办法,业务就是奇葩。。。

    目前这个接口需要给一个第三方后台去调用,怎么保证这个接口请求是第三方发送过来的咧,第三方是有保证的,不会乱传数据,

    目前问题是第三方只负责调用,不会配合我们做什么安全策略,,只能我们自己来限制,有啥好办法不

    15 条回复    2019-06-04 14:20:46 +08:00
    yzkcy
        1
    yzkcy  
       2019-06-04 10:49:54 +08:00
    请求来源白名单?
    参数加签名校验?
    请求参数和返回结果都加密?
    also24
        2
    also24  
       2019-06-04 10:51:08 +08:00
    “目前问题是第三方只负责调用,不会配合我们做什么安全策略”

    在这个大前提大,token / sign 之类的对方都不会做喽?


    那你能做的可能只有 - “限制 IP ”
    also24
        3
    also24  
       2019-06-04 10:51:43 +08:00
    错别字: “在这个大前提大” -> "在这个大前提下"
    wysnylc
        4
    wysnylc  
       2019-06-04 10:55:03 +08:00   ❤️ 1
    非对称加密算法是一种密钥的保密方法。
    非对称加密算法需要两个密钥:公开密钥( publickey:简称公钥)和私有密钥( privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反,使用乙方的公钥对数据进行加密,同理,乙方使用自己的私钥来进行解密。
    重点在最后一部分
    Jirajine
        5
    Jirajine  
       2019-06-04 11:02:36 +08:00 via Android
    对方不配合什么加密也白搭。只能限制来源

    果然不愧是实名大国,身份证这种东西都随意的很
    tongz
        6
    tongz  
       2019-06-04 11:55:18 +08:00
    LZ 说下你们的产品呗, 我先预防一下
    az422
        7
    az422  
       2019-06-04 12:27:16 +08:00 via Android
    1. 响应
    az422
        8
    az422  
       2019-06-04 12:28:44 +08:00 via Android
    手滑点错发送。。
    1. 响应数据加密
    2. 限制请求来源,次数
    3. 这种接口哪里有?想爬
    acehow
        9
    acehow  
       2019-06-04 12:40:50 +08:00 via Android
    ip 白名单呗。
    JmmBite
        10
    JmmBite  
       2019-06-04 13:19:41 +08:00 via iPhone
    无解。
    dangyuluo
        11
    dangyuluo  
       2019-06-04 13:53:34 +08:00
    嗯,这个问题有点棘手,先把你这个身份证信息的 API 给我,我再考虑一下。
    x66
        12
    x66  
       2019-06-04 13:57:40 +08:00
    提供 SDK 给他们用,复杂逻辑你们做呗。
    当然还是 IP 白名单靠谱。
    sleshep632
        13
    sleshep632  
       2019-06-04 14:18:23 +08:00
    TLS 客户端证书
    TLS 双向身份验证
    https://fardog.io/blog/2017/12/30/client-side-certificate-authentication-with-nginx/
    ```
    if ($ssl_client_verify != SUCCESS) {
    return 403;
    }
    ```
    sleshep632
        14
    sleshep632  
       2019-06-04 14:19:08 +08:00
    https 客户端请求的时候是可以带证书的
    tabris17
        15
    tabris17  
       2019-06-04 14:20:46 +08:00
    客户端证书呗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5539 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 07:49 · PVG 15:49 · LAX 23:49 · JFK 02:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.